如何設定 Web 註冊 Proxy 頁面的 Kerberos 限制委派

本文提供在 Web 註冊 Proxy 頁面的自訂服務帳戶上實作服務使用者對 Proxy (S4U2Proxy) 或 Kerberos Only 限制委派的逐步指示。

適用於：Window Server 2016、Window Server 2019、Windows Server 2012 R2
原始 KB 編號： 4494313

摘要

本文提供在 S4U2Proxy) 或僅限 Kerberos 的 Web 註冊 Proxy 頁面上，實作服務使用者對 Proxy (的逐步指示。 本文說明下列組態案例：

• 設定自訂服務帳戶的委派
• 設定 NetworkService 帳戶的委派

注意事項

本文所述的工作流程是特定環境特有的。 相同的工作流程可能無法在不同的情況下運作。 不過，原則會維持不變。 下圖摘要說明此環境。

案例 1：設定自定義服務帳戶的限制委派

本節說明當您針對 Web 註冊 Proxy 頁面使用自定義服務帳戶時，如何實作服務使用者對 Proxy (S4U2Proxy) 或僅限 Kerberos 的限制委派。

1.將SPN新增至服務帳戶

將服務帳戶與SPN) (服務主體名稱建立關聯。 如果要執行這項操作，請依照下列步驟執行：

1. 在 [Active Directory 使用者和電腦] 中，連線到網域，然後選取 [PKI PKI>使用者]。

2. 以滑鼠右鍵按兩下服務帳戶 (例如，web_svc) ]，然後選取 [ 屬性]。

3. 選取 [屬性 編輯器>servicePrincipalName]。

4. 輸入新的SPN字串，選取 [ 新增 (，如下圖) 所示，然後選取 [ 確定]。

   

   您也可以使用 Windows PowerShell 來設定 SPN。 若要這樣做，請開啟提升許可權的 PowerShell 視窗，然後執行 setspn -s SPN Accountname。 例如，執行下列命令：

   setspn -s HTTP/webenroll2016.contoso.com web_svc
   

2.設定委派

1. 設定 S4U2proxy (Kerberos 只會) 服務帳戶的限制委派。 若要這樣做，請在服務帳戶的 [屬性] 對話框中， (如上一個程式) 所述，選取[>委派信任此使用者僅委派給指定的服務]。 請確定已選取 [僅使用 Kerberos ]。

   

2. 關閉對話框。

3. 在主控台樹中，選取 [ 計算機]，然後選取 Web 註冊前端伺服器的電腦帳戶。

   注意事項

   此帳戶也稱為「計算機帳戶」。

4. 在計算機帳戶上設定 S4U2self (通訊協定轉換) 限制委派。 若要這樣做，請以滑鼠右鍵按兩下電腦帳戶，然後選取 [屬性>委派>信任這部計算機僅委派給指定的服務]。 選取 [使用任何驗證通訊協定]。

   

3.建立和系結 Web 註冊的 SSL 憑證

若要啟用 Web 註冊頁面，請建立網站的網域憑證，然後將它系結至默認網站。 如果要執行這項操作，請依照下列步驟執行：

1. 開啟 Internet Information Services (IIS) Manager。

2. 在主控台樹中，選取 [ <HostName]>，然後選取 [ 伺服器證書]。

   注意事項

   <主機 名> 是前端網頁伺服器的名稱。
   

3. 在 [ 動作] 功能表中，選取 [ 建立網域憑證]。

4. 建立憑證之後，選取控制台樹狀結構中的 [默認網站 ]，然後選取 [ 系結]。

5. 請確定 [埠 ] 已設定為 443。 然後在 [SSL 憑證] 下，選取您在步驟 3 中建立的憑證。

   

6. 選取 [確定 ] 將憑證系結至埠 443。

4.將 Web 註冊前端伺服器設定為使用服務帳戶

重要事項

請確定服務帳戶是網頁伺服器上 本機系統管理員 或 IIS_Users 群組的一部分。

1. 以滑鼠右鍵按兩下 DefaultAppPool，然後選取 [ 進階設定]。

   

2. 選 取 [處理模型>識別]，選取 [自定義帳戶]，然後選取 [ 設定]。 指定服務帳戶的名稱和密碼。

   

3. 在 [設定認證和應用程式集區識別] 對話框中，選取 [確定]。

4. 在 [ 進階設定] 中，找出 [載入使用者配置檔]，並確定其設定為 True。

   

5. 重新啟動電腦。

案例 2：在 NetworkService 帳戶上設定限制委派

本節說明當您使用 Web 註冊 Proxy 頁面的 NetworkService 帳戶時，如何實作 S4U2Proxy 或僅限 Kerberos 的限制委派。

選擇性步驟：設定要用於連線的名稱

您可以將名稱指派給用戶端可用來連線的 Web 註冊角色。 此設定表示傳入要求不需要知道 Web 註冊前端伺服器的電腦名稱，或是其他路由資訊，例如 CNAME) (DNS 標準名稱。

例如，假設 Web 註冊伺服器的計算機名稱是 Contoso 網域) 中的 WEBENROLLMAC (。 您希望連入連線改用名稱 ContosoWebEnroll。 在此情況下，連線 URL 會是下列專案：

https://contosowebenroll.contoso.com/certsrv

這不會是下列專案：

https://WEBENROLLMAC.contoso.com/certsrv

若要使用這類設定，請遵循下列步驟：

1. 在網域的 DNS 區域檔案中，建立將新連線名稱對應至 Web 註冊角色 IP 位址的別名記錄或主機名記錄。 使用 Ping 工具來測試路由設定。

   在先前討論的範例中 Contoso.com ，區域檔案具有將 ContosoWebEnroll 對應至 Web 註冊角色 IP 位址的別名記錄。

2. 將新名稱設定為 Web 註冊前端伺服器的 SPN。 如果要執行這項操作，請依照下列步驟執行：

   1. 在 [Active Directory 使用者和電腦] 中，連線到網域，然後選取 [計算機]。
   2. 以滑鼠右鍵按下 Web 註冊前端伺服器的電腦帳戶，然後選取 [ 屬性]。

      注意事項

      此帳戶也稱為「計算機帳戶」。

   3. 選取 [屬性 編輯器>servicePrincipalName]。
   4. 輸入 HTTP/<ConnectionName>。<DomainName.com>，選取 [ 新增]，然後選取 [ 確定]。

      注意事項

      在此字串中， <ConnectionName> 是您已定義的新名稱，而 <DomainName> 是網域的名稱。 在範例中，字串是 HTTP/ContosoWebEnroll.contoso.com。

1.設定委派

1. 如果您尚未連線到網域，請立即在 Active Directory 使用者和電腦 中執行此動作，然後選取 [計算機]。

2. 以滑鼠右鍵按下 Web 註冊前端伺服器的電腦帳戶，然後選取 [ 屬性]。

   注意事項

   此帳戶也稱為「計算機帳戶」。

3. 選 取 [委派]，然後選取 [ 信任這部計算機僅委派給指定的服務]。

   注意事項

   如果您可以保證客戶端在連線到此伺服器時一律會使用 Kerberos 驗證，請選取 [ 僅使用 Kerberos]。 如果某些用戶端會使用其他驗證方法，例如 NTLM 或窗體型驗證，請選取 [使用任何驗證通訊協定]。

   

2.建立及系結 Web 註冊的 SSL 憑證

若要啟用 Web 註冊頁面，請建立網站的網域憑證，然後將它系結至預設的第一個網站。 如果要執行這項操作，請依照下列步驟執行：

1. 開啟 [IIS 管理員]。

2. 在主控台樹中，選取 [ <HostName]>，然後在執行窗格中選取 [ 伺服器證書 ]。

   注意事項

   <主機 名> 是前端網頁伺服器的名稱。

3. 在 [ 動作] 功能表中，選取 [ 建立網域憑證]。

4. 建立憑證之後，選取 [ 默認網站]，然後選取 [ 系結]。

5. 請確定 [埠 ] 已設定為 443。 然後，在 [SSL 憑證] 下，選取您在步驟 3 中建立的憑證。 選取 [確定 ] 將憑證系結至埠 443。

   

3.將 Web 註冊前端伺服器設定為使用 NetworkService 帳戶

1. 以滑鼠右鍵按兩下 DefaultAppPool，然後選取 [ 進階設定]。

   

2. 選 取 [處理模型>識別]。 請確定已選取 [內建帳戶 ]，然後選取 [ NetworkService]。 然後，請選取 [確定]。

   

3. 在 [ 進階屬性] 中，找出 [載入使用者配置檔]，然後確定其設定為 True。

   

4. 重新啟動 IIS 服務。

相關主題

如需這些程式的詳細資訊，請 參閱驗證 Web 應用程式使用者。

如需 S4U2self 和 S4U2proxy 通訊協定延伸模組的詳細資訊，請參閱下列文章：

• [MS-SFU]： Kerberos 通訊協定擴充功能： 使用者服務和限制委派通訊協定
• 4.1 S4U2self 單一領域範例
• 4.3 S4U2proxy 範例